[b]выполнить скрипт в uVS[/b]
копировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.72 script [http://dsrt.dyndns.org]

fixvbr C: 5
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 5
regt 18
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

образ автозапуска перезалейте на http://rghost.ru
тема будет перемещена в раздел обнаружение вредоносного кода.

далее,
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[b]выполнить скрипт в uVS[/b]
cкопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.72 script [http://dsrt.dyndns.org]

addsgn A7679B19B9221B24CCD1855322C87ECD258ACF09DE3D5A8085C3C5BCDB83­891E10CC90A82B2DBC0A2B234E7D0016C229FE118F1AC23BF62CA0724DCD­81067240 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\IPEWQMH.EXE
bl DF7291224F06D23D8CB05007799E1C4A 269504
delall %SystemRoot%\APPPATCH\IPEWQMH.EXE
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delall %SystemDrive%\PROGRAM FILES\VPETS\VPETS.EXE
deltmp
delnfr
regt 5
regt 12
regt 18
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

Эволюция Carberp
http://blog.eset.com/2011/11/21/evolution-of-win32carberp-going-deeper

похоже, Carberp пошел на спад, или "ответственные" за Carberp парни подсуетились и основательно оттестировали свой продукт, чтобы он не часто попадался на глазу антивирусам. и антивирусным брэндам так спокойнее. :).

а еще на ВТО похоже. :)
-----------
[QUOTE]Полное имя C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VTOKRWPVCDM.EXE
Имя файла                   VTOKRWPVCDM.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      167424 байт
Создан                      30.11.2011 в 20:30:21
Изменен                     30.11.2011 в 20:30:08
Атрибуты                    СИСТЕМНЫЙ  R/O  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Ap5wrfp1SYlb
Версия файла                Rvywms2GpItk
Версия продукта             6MMiZW3V
Описание                    GftahQmkIM
Продукт                     1GfF
[B]Производитель Nullsoft, Inc.[/B]
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        78C2BC09A0C6E270EDE706C54D0302E42203BC5C
MD5                         13676CFE771A82C0D2A5647744CAD9E2
                           
Ссылки на объект            
Ссылка                      C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
                           
[/QUOTE]

[QUOTE]baa80 пишет:
но вот что мне еще нод выдал...
[/QUOTE]
это не в ОЗУ, это карантин uVS
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic751/
тема закрыта.

Carberp стал кидать в автозапуск несколько файлов (пока что попадают под одну сигнатуру - видимо близнецы)

[QUOTE]zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\STAR­T MENU\PROGRAMS\STARTUP\VTOKRWPVCDM.EXE
[/QUOTE]

SysInspector нам не поможет,
нужен образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/